Vercel, nền tảng phát triển đám mây chuyên cung cấp cơ sở hạ tầng lưu trữ và triển khai cho các nhà phát triển (đặc biệt tập trung vào các framework JavaScript), vừa xác nhận một sự cố an ninh nghiêm trọng.
Công ty nổi tiếng với việc phát triển framework phổ biến Next.js và cung cấp các dịch vụ như chức năng chạy trên đám mây, không cần máy chủ, điện toán biên và tiến trình CI/CD.
Vercel cho biết nguồn cơn của vụ vi phạm không đến từ lỗ hổng trực tiếp trên hệ thống của họ, mà bắt nguồn từ một ứng dụng bên thứ ba.
CEO Guillermo Rauch tiết lộ, tài khoản Google Workspace của một nhân viên đã bị xâm nhập thông qua nền tảng Context.ai.
Từ điểm mù này, kẻ tấn công đã âm thầm nâng quyền thâm nhập vào các môi trường của Vercel, nhắm mục tiêu trực tiếp vào các "biến môi trường".
Do một số biến không được Vercel đánh dấu là nhạy cảm nên chúng không được mã hóa ở trạng thái nghỉ, tạo điều kiện lý tưởng cho tin tặc thu thập dữ liệu.
Ngay sau đó, nhóm tin tặc tự xưng là "ShinyHunters" đã lên tiếng nhận trách nhiệm. Chúng rao bán hàng loạt dữ liệu nhạy cảm được cho là đánh cắp từ nền tảng này, bao gồm mã khóa truy cập, mã nguồn, thông tin xác thực triển khai như token NPM và GitHub.
Để chứng minh, chúng công khai hồ sơ của khoảng 580 nhân viên Vercel và một ảnh chụp bảng điều khiển quản trị. Đáng chú ý, tin tặc còn tuyên bố đã chủ động tống tiền Vercel với mức tiền lên tới 2 triệu USD.
Dù Vercel khẳng định các dự án cốt lõi vẫn an toàn và chỉ một nhóm nhỏ khách hàng bị ảnh hưởng, hãng đã phải khẩn trương phát đi cảnh báo, yêu cầu người dùng rà soát ngay lập tức các biến môi trường và bật tính năng mã hóa để bảo vệ dữ liệu.
Công ty khuyến cáo các quản trị viên Google Workspace và chủ sở hữu tài khoản Google kiểm tra ứng dụng OAuth có ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com.
Vì sao vụ hack Vercel là "tử huyệt" đe dọa toàn bộ ngành tiền mã hóa?
Sự cố tại Vercel không chỉ là bài toán khủng hoảng nội bộ, mà đang trở thành hồi chuông báo động cho toàn bộ hệ sinh thái Web3.
Phần lớn các dự án crypto, ví điện tử, sàn giao dịch phi tập trung (DEX) và các ứng dụng Web3 đều đang phụ thuộc vào Vercel để lưu trữ giao diện người dùng (frontend). Sự phụ thuộc này vô tình tạo ra một bề mặt tấn công tập trung nhưng lại thường xuyên bị bỏ qua.
Các nhà phát triển Web3 thường dồn toàn lực vào việc kiểm toán hợp đồng thông minh (smart contract) và bảo vệ hệ thống DNS, nhưng lại chủ quan ở lớp lưu trữ và triển khai.
Điều đáng chú ý nhất trong vụ tấn công này là tin tặc đã nhắm trực tiếp vào các biến môi trường.
Trong các dự án Web3, đây là kho chứa những "chìa khóa" vô cùng nhạy cảm: khóa giao diện lập trình ứng dụng (API key), RPC Endpoint riêng tư và các thông tin xác thực cấu hình cốt lõi.
Nếu những giá trị này rơi vào tay kẻ xấu, hậu quả sẽ vượt xa mọi kịch bản rò rỉ dữ liệu thông thường.
Khi nắm quyền kiểm soát ở cấp độ pipeline của nền tảng lưu trữ, tin tặc không cần phải đánh cắp tên miền hay lập các trang web giả mạo dễ bị người dùng phát hiện.
Thay vào đó, chúng có thể trực tiếp chèn mã độc hoặc thay đổi bản dựng ngay trên nền tảng của Vercel.
Điều này đồng nghĩa với việc người dùng vẫn truy cập vào một tên miền hoàn toàn hợp pháp, giao diện chính chủ quen thuộc, nhưng các đoạn mã ngầm bên dưới đã bị thao túng để rút sạch tài sản trong ví của họ.
Các hệ thống giám sát DNS hay cảnh báo bảo mật truyền thống gần như bị vô hiệu hóa hoàn toàn trước hình thức tấn công trực diện vào giao diện này.
Thêm vào đó, vụ việc còn phơi bày sự nguy hiểm khôn lường của các lỗ hổng chuỗi cung ứng.
Kẻ tấn công không cần đánh sập trực tiếp lớp phòng thủ của dự án crypto, mà đi đường vòng thông qua các tiện ích tích hợp được tin cậy cao như ứng dụng AI của bên thứ ba.
Kiểu xâm nhập gián tiếp này cực kỳ tinh vi, rất khó phát hiện và có khả năng gây ra hiệu ứng domino tàn phá hàng loạt nền tảng cùng lúc.
Sự kiện Vercel chính là lời cảnh tỉnh đắt giá cho toàn ngành công nghiệp: An ninh của một dự án Web3 không chỉ nằm ở nền tảng blockchain bất biến, mà hoàn toàn có thể bị đánh sập bởi mắt xích yếu nhất trong toàn bộ chuỗi cơ sở hạ tầng đám mây.
(Theo Bleeping Computer, Cryptopolitan)
.svg){kind=icon}
